cum se verifică semnătura PGP a Software-ului descărcat pe Linux

PGP, care înseamnă Confidențialitate destul de bună, este un software de criptografie cu cheie publică. PGP poate fi folosit pentru a cripta și semn de comunicare de date. În acest tutorial, vom analiza cum să verificăm semnătura PGP a software-ului descărcat.

utilizatorii Linux pot instala în siguranță software-ul din depozitele distribuției lor. Dar există și momente în care trebuie să descărcați și să instalați software de pe site-ul web. Cum puteți fi sigur că software-ul pe care l-ați descărcat nu a fost modificat?

unii autori de software își semnează software-ul folosind un program PGP, cum ar fi GPG, care este o implementare software gratuită a standardului openPGP. În acest caz, puteți verifica integritatea software-ului folosind GPG.

procesul este relativ simplu:

  1. descărcați cheia publică a autorului software-ului.
  2. verificați amprenta cheii publice pentru a vă asigura că este cheia corectă.
  3. importați cheia publică corectă în cheia publică GPG.
  4. Descărcați fișierul de semnătură al software-ului.
  5. utilizați cheia publică pentru a verifica semnătura PGP. Dacă semnătura este corectă, atunci software-ul nu a fost modificat.

vom folosi VeraCrypt ca exemplu pentru a vă arăta cum să verificați semnătura PGP a software-ului descărcat.

exemplu: verificați semnătura PGP a VeraCrypt

deși VeraCrypt este un software open source, acesta nu este inclus în depozitul Ubuntu sau al altei distribuții Linux. Putem descărca VeraCrypt Linux installer de pe site-ul oficial.

VeraCrypt verificați semnătura gpg

alternativ, puteți descărca programul de instalare VeraCrypt în terminal folosind comanda de mai jos.

wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2

pe pagina de descărcare VeraCrypt, puteți găsi, de asemenea, cheia publică PGP și linkul de descărcare a semnăturii PGP. Descărcați aceste două fișiere. Alternativ, le puteți descărca în terminal folosind comanda de mai jos.

cheie publică PGP

wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc

fișier semnătură PGP

wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig

înainte de a face ceva cu cheia publică, trebuie să verificați întotdeauna amprenta cheii pentru a vedea dacă este cheia corectă. Afișați amprenta cheii folosind comanda de mai jos.

gpg --with-fingerprint VeraCrypt_PGP_public_key.asc

a doua linie de ieșire este amprenta cheii.

amprenta PGP cu cheie publică

comparați-o cu amprenta publicată pe site-ul VeraCrypt.

VeraCrypt amprenta cheii publice

după cum puteți vedea, cele două amprente sunt identice, ceea ce înseamnă că cheia publică este corectă. Astfel, puteți importa cheia publică în brelocul dvs. public cu:

gpg --import VeraCrypt_PGP_public_key.asc

gpg import public key

acum verificați semnătura folosind comanda de mai jos. Trebuie să specificați fișierul de semnătură și programul de instalare a software-ului, ale cărui nume sunt de obicei identice, numai cu extensie de fișier diferită. Aceasta este o semnătură detașată, ceea ce înseamnă că semnătura și software-ul sunt separate una de cealaltă.

gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2

rezultatul ar trebui să spună „semnătură bună”.

verificați semnătura pgp

semnătura este o valoare hash, criptată cu cheia privată a autorului software-ului. GPG utilizează cheia publică pentru a decripta valoarea hash, apoi se calculează valoarea hash a VeraCrypt installer și compara cele două. Dacă aceste două valori hash se potrivesc, atunci semnătura este bună și software-ul nu a fost modificat.

dacă GPG vă spune că este o semnătură proastă, atunci programul de instalare a software-ului a fost modificat sau corupt.

importarea cheii publice dintr-o sursă de încredere

rețineți că, dacă autorul software-ului vă spune ID-ul cheii publice pe site-ul web, atunci puteți importa cheia publică cu:

gpg --recv-keys <key-ID>

apoi afișați amprenta cu:

gpg --fingerprint <key-ID>

și comparați amprenta de la ieșire cu cea publicată pe site-ul web. Acest lucru este mai sigur deoarece cheia publică este importată de pe un server de chei publice, care implicit este setat la hkp://keys.gnupg.net în fișierul ~/.gnupg/gpg.conf. Deoarece toate serverele cheie majore comunică între ele și sincronizează tastele, deci nu trebuie să modificați valoarea implicită.

asta e!

sper că acest tutorial v-a ajutat să verificați semnătura PGP a descărcărilor de software. Ca întotdeauna, dacă ați găsit acest post util, apoi abona la newsletter-ul nostru gratuit sau urmați-ne pe Google+, Twitter sau ca pagina noastră de Facebook.

evaluați acest tutorial